關鍵要點
- 惡意的 Axios 版本 1.14.1 和 0.30.4 部署了遠端存取木馬。
- Google 將此次複雜的攻擊歸咎於北韓駭客組織 UNC1069。
- 此次漏洞影響了一個每週下載量達 1 億次的庫,敦促立即進行審計。
返回
返回
Axios 供應鏈攻擊波及 80% 的雲端環境
複雜的供應鏈攻擊入侵了廣泛使用的 Axios JavaScript 庫,在安全公司 Wiz 估計的 80% 的雲端和程式碼環境中注入了跨平台遠端存取木馬 (RAT)。該事件涉及 npm 軟體包的惡意版本在約三小時內可供下載,鑑於 Axios 每週 1 億次的下載量,這代表了開源生態系統中最重大的安全漏洞之一。
「北韓駭客在供應鏈攻擊方面擁有深厚經驗,他們歷來利用這些攻擊來竊取加密貨幣,」Google 威脅情報小組 (GTIG) 首席分析師 John Hultquist 在一份聲明中表示。「這次事件的完整影響範圍尚不明確,但考慮到受損軟體包的普及程度,我們預計它將產生深遠的影響。」GTIG 已將此次攻擊歸咎於北韓威脅行為者 UNC1069。
攻擊始於 3 月 31 日,當時威脅行為者向 npm 註冊表發布了惡意版本 [email protected] 和 [email protected]。這是通過入侵該項目首席維護者的 npm 帳戶並使用舊的長效權杖繞過項目更安全的基於 OIDC 的發布工作流實現的。惡意軟體包包含一個幻象依賴項 plain-crypto-js,其中包含一個用於下載 RAT 的安裝後腳本。
此次漏洞凸顯了軟體供應鏈中的一個關鍵漏洞,影響了近 17.5 萬個依賴項目。攻擊對開發環境和 CI/CD 流水線的影響可能會導致嚴重的憑據竊取和企業網絡內的橫向移動。對於像 Wiz 和 Snyk 這樣的公司來說,這一事件強調了加強依賴管理和運行時驗證的必要性,可能會增加對其安全掃描和威脅情報服務的需求。
攻擊如何展開
攻擊者展示了極高的操作複雜度。在主攻擊發生前約 18 小時,一個名為 nrwise 的帳戶發布了一個乾淨的誘餌包 [email protected],以在 npm 註冊表上建立合法歷史記錄。在 Axios 被入侵前不久,他們將其更新至 4.2.1 版本,其中包含惡意載荷。
受損的 Axios 版本將此惡意包添加為依賴項。當開發人員安裝或更新 Axios 時,plain-crypto-js 中的 postinstall 腳本就會執行,聯繫位於 sfrclak.com 的命令與控制 (C2) 伺服器以獲取特定平台的惡意軟體。
該惡意軟體是一個跨平台 RAT,具有 Windows、macOS 和 Linux 變體。
- 在 macOS 上,二進制文件被寫入
/Library/Caches/com.apple.act.mond,並且可以對注入的載荷進行自簽名以繞過 Gatekeeper。 - 在 Windows 上,一個偽裝成 Windows 終端機 (
wt.exe) 的 PowerShell 腳本被複製到%PROGRAMDATA%,並通過註冊表 Run 鍵建立持久性。 - 在 Linux 上,一個 Python 腳本被存儲為
/tmp/ld.py並執行。
在部署載荷後,腳本嘗試通過用乾淨版本替換惡意的 package.json 來抹除軌跡,從而誤導可能檢查已安裝軟體包的開發人員。
廣泛影響與修復
雖然惡意軟體包在三小時內從 npm 註冊表中移除,但 Axios 極高的下載速度意味著大量系統已被感染。Wiz 報告稱,在其監測的受影響環境中,約有 3% 觀察到惡意軟體在執行。安全公司 Huntress 也報告了超過 100 台受影響的設備。
安全專家敦促立即採取行動。建議組織審計其項目鎖定文件和 CI/CD 日誌,查找 [email protected]、[email protected] 或 [email protected] 的任何跡象。
「不要嘗試清理受感染的系統。請從已知的乾淨快照重新建構,」Snyk 研究人員建議。任何安裝了這些版本的環境都應被視為完全淪陷。所有憑據,包括 npm 權杖、雲端供應商金鑰和 SSH 金鑰,必須撤銷並重新簽發。
為了長期防禦,安全團隊應考慮在自動化建構流水線中強制執行 npm ci --ignore-scripts,以防止惡意腳本運行。實施軟體包帳齡策略(阻止安裝新發布的軟體包)也可以防止此次攻擊,因為惡意的 plain-crypto-js 依賴項發布不足一天。
本文僅供參考,不構成投資建議。